Szilárda
-2 °C
7 °C

Nem okozott világvégét a Conficker

2009.04.01. 13:30 Módosítva: 2009-04-01 13:32:54
Április elsején 0 órakor aktiválták magukat a Conficker féreggel fertőzött számítógépek az interneten, és elkezdték keresni a kapcsolatot a zombihálózatot vezérlő szerverrel.

Mivel az ezredforduló és az Y2K-pánik óta egyetlen vírus sem kapott ekkora hírverést, most a világ összes biztonságtechnikai szakembere a Confickert figyeli, de azt továbbra sem tudja senki, mire készül a vírus írója. Az sem derült még ki (a Microsoft negyedmillió dolláros nyomravezetői díja ellenére), hogy honnan származhat a vírus, a legutóbbi hírek kínai eredetről szólnak, bár több bizonyíték emögött sincs, mint a korábbi, orosz származásról szóló pletykák mögött.

Felébredt

"Észleltük, hogy a Conficker aktivizálódott, de egyelőre úgy tűnik, nem sikerült kapcsolatot találnia a központi szerverrel" - mondta Toralv Dirro, a McAfee vírusirtó cég vezetője az Infoworldnek az eddigi eseményekről. A Conficker féreggel fertőzött gépek számát az interneten 10-15 millió közé becsülik a szakértők. Maga a féreg különleges, egy rég befoltozott biztonsági rést használ ki a Windowsban, így igazából csak olyan gépeken és hálózatokon tud hatékonyan fertőzni, ahol nagyon elhanyagolják a biztonsági szoftvereket és frissítéseket.

A veszélye egyrészt abban rejlik, hogy nagyon agresszívan terjed (a hagyományos módszer mellett adathordozókra is felmásolja magát, és helyi hálózatokon megpróbálja feltörni a gépek adminisztrátor-jelszavait), másrészt a fertőzött gépekből álló botnet belső kommunikációja, irányítása roppant kifinomult. A Conficker a maga nemében igazi műremek, ismerte el a Trend Micro antivíruscég egyik szakértője, Paul Ferguson.

Sárkány ellen sárkányfű

Ha a zombihálózat nem tud összekapcsolódni az irányítójával, az két szervezetnek lesz köszönhető: a Conficker Cabal, illetve a Conficker Working Group egyaránt biztonsági cégek által alapított csoport, akik a vírus ellen küzdenek. A Conficker legutóbbi frissítésével megváltoztatta a saját vezérlését: egy algoritmussal 50 ezer doménnevet generál, majd ezekből kiválaszt ötszázat, és megpróbál összekapcsolódni a címen levő szerverrel. A vírus gazdájának elég egy címet bejegyeztetni magának ezek közül, és a vírus előbb-utóbb megtalálja.

A Conficker-ellenes szervezetek doménregisztrátor cégeknél lobbiznak, hogy ezeket a címeket tegyék tiltólistára, és senkinek nem adják ki. Ezzel a módszerrel valószínűleg csak késleltetni tudják a zombihálózat felébredését, megakadályozni nem, de addig is terjed a Conficker-veszély híre - márpedig a legutóbbi szuperbotnet, a Storm halálát is a nyilvánosság okozta.

Jobb félni

A szakértők szerint a botnet gazdájának valószínűleg nem az internet romba döntése a célja (bár elvileg óriási káoszt okozhatna a neten, ha direkt erre játszik), hanem a pénzszerzés, és a hálózatának kisebb-nagyobb részeit spamterjesztésre és túlterheléses támadásokra fogja bérbe adni az online feketepiacon.

Mivel a Conficker körül óriási a hírverés, a fertőzést észrevenni (ha például nem tudjuk elérni a mcafee.com, microsoft.com, vagy trendmicro.com oldalakat, az gyanús jel), és a kártevőt eltávolítani pedig roppant egyszerű (például az innen letölthető ingyenes programmal), a fertőzött gépek száma valószínűleg csökkenni fog. A botnet gazdája tehát választhat, hogy minél hamarabb akcióba lép, vagy vár, és akkor megfogyatkozik a zombisereg létszáma, de a világ rendszergazdáinak figyelme is lanyhul.